Le rendez-vous du Particulier. Paiements à distance : des changements depuis le 15 mai

Pour faire des achats par carte bancaire sur internet, les banques mettent en place une nouvelle procédure plus sécurisée. On parle d’authentification forte. Alors qu’est-ce que cela change de manière concrète, nous voyons ça avec Pascal Frasnetti, chef de rubrique consommation pour le magazine Le Particulier, le mensuel patrimonial du groupe Le Figaro.

franceinfo : Ce changement concerne toutes les transactions à distance ?

Pascal Frasnetti : Pas tout à fait. Les banques peuvent se passer d’authentification forte pour les paiements de moins de 30 euros ou si le client n’a pas cumulé plus de 5 paiements et 100 euros d’achats depuis la dernière authentification. La nouvelle règle ne s’applique pas aux abonnements, paiements récurrents ou en plusieurs fois sans frais, à condition que le montant de la transaction soit toujours le même : dans ce cas le client ne va s’identifier qu’à la première transaction.

Elle ne vous concerne pas non plus si votre banque est située hors de l’Union européenne, si vous payez avec une carte d’affaires ou encore si vous passez commande par courrier ou par téléphone. 

Enfin, ne soyez pas surpris si votre banque ne vous réclame pas l’authentification forte quand vous allez réserver vos vacances pour cet été : un forfait touristique est souvent composé de différentes prestations comme le transport, l’hôtel, ou la location de voiture, donc il est plus difficile d’adapter les systèmes de paiement et les professionnels du tourisme, déjà très affectés par la pandémie de Covid-19, ont obtenu un délai supplémentaire.  

Alors ce changement est-il contraignant pour le client particulier ? 

Contraignant, oui. D’abord parce que cette nouvelle procédure s’applique à plus de transactions : on l’a dit, sont désormais concernés tous les paiements à distance par carte bancaire de plus de 30 euros, un seuil qui a été progressivement abaissé depuis des mois.

Ensuite, cette vérification ne va pas s’appliquer qu’aux seuls paiements : elle va aussi être déclenchée par la banque pour toute connexion à son espace en ligne, mais aussi pour les opérations dites "sensibles", telles que l’ajout d’un bénéficiaire pour les virements, la réalisation d’un virement, la commande d’un chéquier ou encore la modification du code PIN de sa carte bancaire. Donc le client peut avoir l’impression de répéter souvent la procédure.  

Et puis la procédure en elle-même va prendre quelques secondes de plus…

C’est vrai : jusqu’à présent, le client devait confirmer le paiement en ligne en saisissant un code temporaire reçu sur son mobile par SMS, on est désormais tous habitués à réaliser cette opération.

Depuis le 15 mai, la nouvelle procédure prévoit de vérifier l’identité du client par un élément supplémentaire. La banque doit vous demander au moins 2 éléments d’identification parmi les 3 possibles, à savoir renseigner une information que vous êtes seul à connaître (un mot de passe, un code Pin), vous connecter à un terminal que vous possédez (généralement un smartphone) ou vous identifier avec une caractéristique personnelle comme l’empreinte digitale ou la reconnaissance faciale.      

L’objectif, c’est bien sûr de limiter la fraude…

Oui, les autorités espèrent ainsi ramener le taux de fraude sur les opérations à distance au même niveau que pour les paiements par carte en boutique, aujourd’hui 17 fois moins élevé. 

Avec la nouvelle procédure, la fraude sera quasiment impossible, même en cas de vol combiné de la carte bancaire et du téléphone, même si le téléphone est débloqué. En effet, le fraudeur devrait être incapable d’ouvrir l’application bancaire.

L’authentification va aussi mettre fin au phénomène de ce qu’on appelle la "friendly fraud ", qui consiste à réaliser une opération avec la carte d’un proche sans son consentement. Désormais, la banque conserve la trace de l’authentification personnelle du client, prouvant qu’il est lui-même à l’origine de la transaction.  

Comment fonctionne la nouvelle procédure ?

Pour accéder à cette identification, l’utilisateur doit télécharger sur son smartphone une application propre à chaque banque et activer une fonctionnalité spécifique - ça s’appelle par exemple SécuriPass au Crédit Agricole, Certicode Plus à la Banque postale, ou Sécur’Pass à la Caisse d’épargne…

Pour confirmer la transaction, le client doit ensuite ouvrir cette application grâce à un code secret personnel ou avec son empreinte digitale, tout dépend de la technologie retenue par la banque pour s’identifier. Dans tous les cas, la banque reconnait le terminal avec lequel la transaction est effectuée. Ainsi, si le client change de smartphone, il doit alors télécharger à nouveau l’application bancaire pour procéder au paiement.  

Et si je n’ai pas de smartphone ou si je suis dans une zone sans réseau mobile, je ne peux plus acheter en ligne ?

Si, ce sera toujours possible. Les banques ont imaginé des solutions pour cette clientèle afin d’authentifier leurs paiements. Elles peuvent mettre à disposition de leurs clients un code personnel couplé au code envoyé par SMS de l’ancienne formule d’identification ou bien un code à usage unique que le client va récupérer sur un boîtier fourni par la banque et généralement facturé quelques dizaines d’euros. Dans les deux cas, l’objectif est de sécuriser l’identification par l’apport d’un élément connu du seul client.